本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 受信任的修正者 FAQs
<a name="tr-faq"></a>

以下是有关可信修正者的常见问题：

## 什么是 Trusted Remedicator？它对我有什么好处？
<a name="tr-faq-benefits"></a>

当 Compute Optimizer Trusted Advisor 或 Security Hub CSPM 发现违规行为或发布建议时，Trusted Remediator 会根据您指定的偏好进行响应，方法是应用补救措施、通过手动修正寻求批准，或者在即将到来的月度业务回顾 (MBR) 中报告补救措施。补救将在您的首选补救时间或时间表进行。Trusted Remediator 使您能够自助服务并对 Trusted Advisor 支票采取行动，并且可以灵活地单独或批量配置和修复支票。AMS 拥有经过测试的补救文件库，通过应用安全检查和遵循 AWS 最佳实践，不断禁止提高您的账户。只有当您在配置中指定这样做时，您才会收到通知。AMS 用户可以选择加入 Trusted Remediator，无需额外付费。

## Trusted Remediator 与其他 AWS 服务人有何关系和协作？
<a name="tr-faq-relates"></a>

作为现有企业支持计划的一部分，你可以访问 Trusted Advisor 支票、Compute Optimizer 推荐和 Security Hub CSPM 控件。Trusted Remediator 与 Trusted Advisor Compute Optimizer 和 Security Hub CSPM 集成，以利用现有的 AMS 自动化功能。具体而言，AMS 使用 AWS Systems Manager 自动化文档（运行手册）进行自动修复。 AWS AppConfig 用于配置修复工作流程。您可以通过 Systems Manager OpsCenter 查看所有当前和过去的补救措施。修复日志存储在 Amazon S3 存储桶中。您可以使用日志在 Quick 中导入和构建自定义报告仪表板。

## 谁来配置补救措施？
<a name="tr-faq-configure"></a>

您的账户中的配置归您所有。管理您的配置是您的责任。您可以联系您的 CA 或 CDSM，寻求管理配置的帮助。您也可以通过服务请求与 AMS 联系，以获得配置支持、手动补救和修复失败故障排除。

## 如何安装 SSM 自动化文档？
<a name="tr-faq-ssm"></a>

SSM 自动化文档会自动共享给已注册的 AMS 账户。

## AMS 拥有的资源也会得到补救吗？
<a name="tr-faq-ams-owned"></a>

可信修正者不会标记 AMS 拥有的资源。Trusted Remediator 只关注您的资源。

## AWS 区域 Trusted Remediator 中有哪些可用以及谁可以使用它？
<a name="tr-faq-regions"></a>

可信修正器适用于 AMS Accelerate 客户。有关支持区域的最新列表，请参阅[AWS 服务 按地区划分](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。

## 可信修正者会导致资源漂移吗？
<a name="tr-faq-drift"></a>

由于 SSM 自动化文档直接通过 AWS API 更新资源，因此可能会出现资源偏差。您可以使用标签来隔离通过现有 CI/CD 包创建的资源。您可以将 Trusted Remediator 配置为在修复其他资源的同时忽略已标记的资源。

## 如何暂停或停止 Trusted Remedieator？
<a name="tr-faq-stop"></a>

您可以通过 AWS AppConfig 应用程序关闭 “可信修正者”。要暂停或停止可信修正者，请完成以下步骤：

1. 在 [https://console.aws.amazon.com/systems-manager/appconfig 上](https://console.aws.amazon.com/systems-manager/appconfig)打开 AWS AppConfig 控制台。

1. 选择 “可信修正者”。

1. 在配置文件上选择 **“设置”**。

1. 选择 “**暂停可信修正者**” 标志。

1. 将该`suspended`属性的值设置为。`true`

**注意**  
使用此过程时要小心，因为这会停止所有关联到委派管理员帐户的账户的 Trusted Remediator。

## 如何修复可信修正者不支持的检查？
<a name="tr-faq-remediate-checks"></a>

您可以继续通过按需运营 (OOD) 与 AMS 联系，获取不支持的支票。AMS 可帮助您补救这些检查。有关更多信息，请参阅[按需操作](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/ops-on-demand.html)。

## 可信修正者与补救有何不同 AWS Config ？
<a name="tr-faq-differences"></a>

AWS Config 修复是另一种解决方案，可帮助您优化云资源并保持对最佳实践的合规性。以下是这两种解决方案之间的一些操作差异：
+ Trusted Remediator 使用 Trusted Advisor Compute Optimizer 和 Security Hub CSPM 作为检测机制。 AWS Config 补救使用 AWS Config 规则作为检测机制。
+ 对于 Trusted Remideator，修复将按照您预定义的修复计划进行。在中 AWS Config，补救是实时进行的。
+ Trusted Remediator 中每项修复的参数都可以根据您的用例轻松自定义，并且可以通过在资源上添加标签来实现自动修复或手动修复。
+ 可信修正者提供报告功能。
+ Trusted Remediator 会向您发送一封电子邮件通知，其中包含修正列表和修正状态。

一些 Trusted Advisor 检查、Compute Optimizer 和 Security Hub CSPM 建议中可能有相同的规则。 AWS Config如果存在匹配的 AWS Config 规则和 Trusted Advisor 检查，则最佳做法是仅启用一项补救措施。有关每项 Trusted Advisor 支票的 AWS Config 规则的信息，请参阅[Trusted Advisor 受信任修正者支持的检查](tr-supported-checks.md)。

## Trusted Remediator 会将哪些资源部署到您的账户？
<a name="tr-faq-deployed-resources"></a>

Trusted Remediator 在可信修正者委派的管理员帐户中部署以下资源：
+ 一个名为 `ams-trusted-remediator-{your-account-id}-logs` 的 Amazon S3 存储桶。Trusted OpsItem Remediator `Remediation item log` 在创建修复时以 JSON 格式创建，并将日志文件上传到此存储桶。
+ 一款用于保存支持的 Trusted Advisor 检查、Compute Optimizer 和 Security Hub CSPM 建议的补救配置的 AWS AppConfig 应用程序。

可信修正者不会在可信修正者成员帐户中部署资源。